WhatsApp在新的安全网站上披露了六个以前未披露的漏洞

2020-09-04 11:03:56

WhatsApp表示,六个漏洞中有五个在同一天修复,而其余的漏洞需要几天时间才能修复。尽管一些漏洞可能是远程触发的,但该公司表示,没有发现黑客积极利用这些漏洞的证据。

大约三分之一的新漏洞是通过该公司的Bug Bounty计划报告的,而其他漏洞是在例行代码审查和使用自动化系统时发现的,这一点不出所料。

WhatsApp是世界上最受欢迎的应用程序之一,在全球拥有超过20亿用户。但它也是黑客持续攻击的目标,他们试图发现并利用平台中的漏洞。

新网站的推出是该公司努力提高针对即时通讯应用的漏洞的透明度的一部分,并回应了用户的反馈。该公司表示,WhatsApp社区一直在要求一个集中的位置来跟踪安全漏洞,因为由于应用商店的政策,WhatsApp并不总是能够在应用程序的发布说明中详细说明其安全建议。

新的仪表板将每月更新一次,如果必须警告用户有活动攻击,更新时间也会更快。它还将提供可追溯到2018年的过去CVE的档案。虽然网站的主要关注点将是WhatsApp代码中的CVE,但如果该公司向公共数据库MITRE提交了针对其在第三方代码中发现的漏洞的CVE,它也会在WhatsApp安全咨询页面上指明这一点。

去年,WhatsApp在修复了据称由以色列间谍软件制造商NSO集团使用的漏洞后上市。WhatsApp起诉了这家间谍软件制造商,指控该公司利用该漏洞,将其Pegasus间谍软件秘密交付给约1400台设备-其中包括100多名人权捍卫者和记者。

公民实验室的高级研究员约翰·斯科特-雷顿(John Scott-raiton)对这一消息表示欢迎,他的工作包括调查NSO集团。

他告诉TechCrunch:“这很好,我们知道不良行为者会利用大量资源获取漏洞并将其武器化。”“WhatsApp发出的信号是,它将定期采取行动,以这种方式识别和修补,这似乎又是提高不良演员成本的另一种方式。”

WhatsApp在一篇博客文章中表示:“我们非常致力于透明度,这一资源旨在帮助更广泛的科技界从我们安全努力的最新进展中受益。我们强烈鼓励所有用户确保他们的WhatsApp从各自的应用商店保持最新,并在有更新时随时更新他们的移动操作系统。“。

Facebook周四还表示,它已经制定了漏洞披露政策,允许公司就Facebook和WhatsApp依赖的第三方代码中的安全漏洞向开发人员发出警告。